JP2008117316A - 業務情報防護装置 - Google Patents
業務情報防護装置 Download PDFInfo
- Publication number
- JP2008117316A JP2008117316A JP2006302118A JP2006302118A JP2008117316A JP 2008117316 A JP2008117316 A JP 2008117316A JP 2006302118 A JP2006302118 A JP 2006302118A JP 2006302118 A JP2006302118 A JP 2006302118A JP 2008117316 A JP2008117316 A JP 2008117316A
- Authority
- JP
- Japan
- Prior art keywords
- work
- information
- user
- application
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
【課題】業務情報システムの情報セキュリティを高め、かつ、そのアクセスルールを管理しやすい仕組みを提供する。
【解決手段】業務情報システムと、その業務情報システムのメンテナンス作業を行う作業用端末のそれぞれと接続される業務情報防護装置に関する。業務情報防護装置は、メンテナンス作業の申請を受け付け、申請されたメンテナンス作業とその作業予定者を対応づけた作業予定情報を保持する。そして、業務情報システムのメンテナンス作業の実行に際しては、作業者を示すユーザ識別情報を作業用端末から受信し、作業者がそもそも正規ユーザとして登録されているか否か、メンテナンス作業が申請済か否かを判定し、この2段階の判定が共に肯定判定となることを条件として、作業用端末から業務情報システムへのメンテナンス作業用アクセスを許可する。
【選択図】図4
【解決手段】業務情報システムと、その業務情報システムのメンテナンス作業を行う作業用端末のそれぞれと接続される業務情報防護装置に関する。業務情報防護装置は、メンテナンス作業の申請を受け付け、申請されたメンテナンス作業とその作業予定者を対応づけた作業予定情報を保持する。そして、業務情報システムのメンテナンス作業の実行に際しては、作業者を示すユーザ識別情報を作業用端末から受信し、作業者がそもそも正規ユーザとして登録されているか否か、メンテナンス作業が申請済か否かを判定し、この2段階の判定が共に肯定判定となることを条件として、作業用端末から業務情報システムへのメンテナンス作業用アクセスを許可する。
【選択図】図4
Description
この発明は、組織業務を管理するための業務情報システムに関連し、特に、業務情報システムの情報セキュリティを向上させるための技術、に関する。
企業や公共施設などの運用を支える業務情報システム、いわゆるエンタープライズシステム(Enterprise System)は、今や、大小さまざまな組織の基盤となっている。業務情報システムは、ノード端末やデータベースから得られるデータを集計、蓄積、解析、加工した上でより付加価値の高い情報を出力することにより、複雑化する組織マネジメントを支えている。
このような業務情報システムは、稼働後も、動作監視、障害対応、機能拡張や機能変更などのさまざまなメンテナンス作業を必要とする。通常、業務情報システムを導入するクライアント企業は、外部の管理会社にこのメンテナンス作業を委託する。管理会社のSE(System Engineer)は、業務情報システムにリモートログインしてメンテナンス作業を行うことが多い。
特開2004−213475号公報
ところで、近年、アメリカで成立したSOX(Sarbanes‐Oxley)法は、企業経営者や会計監査人に対して公開情報の正当性を保証するように強く求めている。これに倣って、日本でも日本版SOX法が導入される予定であり、日本版SOX法に対応できる態勢の確立が急務となっている。
このような社会背景に鑑みて、本発明者は、管理会社による業務情報システムへのリモートアクセスに着目し、業務情報システムへのアクセス規制を強化する必要があると認識した。特許文献1は、IDとパスワードによるユーザ認証に加えて、管理者によるアクセス承認を条件とするアクセスルールについて開示する。このようなアクセスルールは、業務情報システムへの不正アクセスを防止する上で有効な手法であるが、管理者は作業申請に即座に対応する必要があるため負担が大きい。本発明者は、情報漏洩を防止しやすいアクセスルールの確立はもちろん重要であるが、ヒューマンエラーの発生を抑制するためにユーザの負担にも配慮する必要があると考えた。
また、企業に導入される業務情報システムが単一システムであるとは限らない。たとえば、ある企業には、財務システムと顧客システムが別々に導入されているかもしれないし、あるいは、それらが更に上位のシステムに統合されているかもしれない。このような複数の業務システムが稼働する企業においても、各業務情報システムの情報セキュリティを高め、かつ、それらのアクセスルールを管理しやすい仕組みが必要である。
本発明は、本発明者の上記課題認識に基づいて完成された発明であり、その主たる目的は、業務情報システムにおける情報セキュリティを向上させるための技術、を提供することにある。
本発明のある態様は、組織業務を管理するための業務情報システムと、その業務情報システムのメンテナンス作業を行う作業用端末のそれぞれと接続される業務情報防護装置である。
この装置は、メンテナンス作業の申請を受け付け、申請されたメンテナンス作業とその作業予定者を対応づけた作業予定情報を保持する。そして、業務情報システムのメンテナンス作業の実行に際しては、作業者を示すユーザ識別情報を作業用端末から受信し、作業者がそもそも正規ユーザとして登録されているか否か、メンテナンス作業が申請済か否かを判定し、この2段階の判定が共に肯定判定となることを条件として、作業用端末から業務情報システムへのメンテナンス作業用アクセスを許可する。
この装置は、メンテナンス作業の申請を受け付け、申請されたメンテナンス作業とその作業予定者を対応づけた作業予定情報を保持する。そして、業務情報システムのメンテナンス作業の実行に際しては、作業者を示すユーザ識別情報を作業用端末から受信し、作業者がそもそも正規ユーザとして登録されているか否か、メンテナンス作業が申請済か否かを判定し、この2段階の判定が共に肯定判定となることを条件として、作業用端末から業務情報システムへのメンテナンス作業用アクセスを許可する。
なお、以上の構成要素の任意の組合せ、本発明を方法、システム、記録媒体、コンピュータプログラムにより表現したものもまた、本発明の態様として有効である。
本発明によれば、業務情報システムにおける情報セキュリティを向上させることができる。
図1は、業務情報防護装置100と各種業務情報システムとの関係を示すハードウェア構成図である。
同図に示すクライアント環境300は、ある企業Aの業務環境を示す。クライアント環境300は、財務情報システム310、顧客情報システム312、在庫管理システム314という3種類の業務情報システムと、1以上の承認用端末320を含む。財務情報システム310は、企業Aの財務情報を管理するシステムである。顧客情報システム312は、企業Aの顧客情報を管理するシステムである。在庫管理システム314は、企業Aの商品の在庫状態を管理するシステムである。承認用端末320は、ウェブブラウザを搭載した一般的なPC(Personal Computer)端末である。承認用端末320は、必ずしもクライアント環境300に属する必要はなく、ノートPCなどの携帯端末であってもよい。
同図に示すクライアント環境300は、ある企業Aの業務環境を示す。クライアント環境300は、財務情報システム310、顧客情報システム312、在庫管理システム314という3種類の業務情報システムと、1以上の承認用端末320を含む。財務情報システム310は、企業Aの財務情報を管理するシステムである。顧客情報システム312は、企業Aの顧客情報を管理するシステムである。在庫管理システム314は、企業Aの商品の在庫状態を管理するシステムである。承認用端末320は、ウェブブラウザを搭載した一般的なPC(Personal Computer)端末である。承認用端末320は、必ずしもクライアント環境300に属する必要はなく、ノートPCなどの携帯端末であってもよい。
各業務情報システムは、業務情報防護装置100を介してインターネット330と接続される。クライアント環境300の各種業務システムは、稼働後も、適宜メンテナンス作業を受ける。このメンテナンス作業は、クライアント環境300内で行われることもあるが、多くは作業用端末200からのリモートアクセスにより実行される。このリモートのメンテナンス作業を行うユーザのことを、以下、単に「作業者」とよぶ。作業者は、通常、企業Aとメンテナンス作業契約を交わした管理会社のSEであることが多い。作業者は、作業用端末200を操作して、インターネット330、業務情報防護装置100を介して、クライアント環境300の各種業務情報システムにリモートログインする。作業用端末200と業務情報防護装置100の間の通信経路は、VPN(Virtual Private Network)などによりセキュアな通信経路であることが望ましい。
以下においては、インターネットのような公用回線を介したリモートアクセスを前提として説明するが、業務情報防護装置100やクライアント環境300、作業用端末200は、互いに専用回線にて接続されてもよい。
また、本明細書においては、各種の業務情報システムの運用により組織業務を実行する側の企業であって、外部の作業用端末200からメンテナンス作業というサービスを受けるクライアントという意味で「クライアント企業」や「クライアント環境300」という用語を使用するものとする。
以下においては、インターネットのような公用回線を介したリモートアクセスを前提として説明するが、業務情報防護装置100やクライアント環境300、作業用端末200は、互いに専用回線にて接続されてもよい。
また、本明細書においては、各種の業務情報システムの運用により組織業務を実行する側の企業であって、外部の作業用端末200からメンテナンス作業というサービスを受けるクライアントという意味で「クライアント企業」や「クライアント環境300」という用語を使用するものとする。
業務情報防護装置100は、作業用端末200から各業務情報システムへのリモートログイン要求を一元的に受け付ける。そして、以下の2段階の判定が共に肯定判定となったことを条件として、リモートログインを許可する。
1.作業者があらかじめ登録されているユーザであるか(以下、「ユーザ認証」とよぶ)
2.作業者がメンテナンス作業を実行することを事前に(正しく)申請済みであるか(以下、「申請判定」とよぶ)
1.作業者があらかじめ登録されているユーザであるか(以下、「ユーザ認証」とよぶ)
2.作業者がメンテナンス作業を実行することを事前に(正しく)申請済みであるか(以下、「申請判定」とよぶ)
業務情報防護装置100は、中継装置110、ユーザ認証装置120および申請管理装置140を含む。業務情報防護装置100は、中継装置110、ユーザ認証装置120および申請管理装置140の各機能を一体として備える単一の装置であってもよいが、本実施例においては、以下の理由から、これら3つの装置の集合体であるとして説明する。
一般的には、作業者は自端末からターミナルサーバにリモートログインし、このターミナルサーバによってユーザ認証されることを条件として、業務情報システムへのアクセスが許可されるというシステム構成となることが多い。本実施例においては、このような従来システムに加えて、ユーザ認証装置120と申請管理装置140を導入することによって、申請判定による情報セキュリティの向上を図っている。すなわち、同図に示す中継装置110は、既存のターミナルサーバであってもよい。本実施例における中継装置110は、WINDOWS(登録商標)を搭載した一般的なPC端末であるとして説明する。
ユーザ認証装置120は、中継装置110に代わって「ユーザ認証」を実行する。まず、作業用端末200のユーザは、従来と同じように中継装置110にリモートログインする。このときユーザIDとパスワードが中継装置110に送信される。ユーザ認証装置120は、このユーザIDとパスワードを受け取ってユーザ認証を実行し、その結果を中継装置110に返す。詳しくは図9に関連して後述する。
申請管理装置140は、ユーザIDとパスワードを受け取って「申請判定」を実行する。作業者は、業務情報システムへのリモートログインに先立って、どのような作業をいつ実行する予定であるかをあらかじめ申請しなければならない。申請管理装置140は、このような作業予定を一元的に管理しており、作業者からのリモートログイン要求を受け付けると、その作業者がなんらかのメンテナンス作業を事前に申請しているか確認する。ユーザ認証に成功し、かつ、作業申請済みであることが、業務情報システムへのアクセスが許可される条件である。
本実施例の業務情報防護装置100の主たるメリットとして、以下の4つを挙げることができる。
1.ユーザ認証に加えて申請判定を行うため、業務情報システムの情報セキュリティが強化される。
2.既に運用されている業務情報システムへの導入が容易である。
3.申請判定に関連するユーザの負荷が軽減される。
4.複数種類の業務情報システムを単一の業務情報防護装置100によって一元管理できる。
以上について、特に、上記3.や上記4.を中心として、業務情報防護装置100の機能および作用について説明する。
本実施例の業務情報防護装置100の主たるメリットとして、以下の4つを挙げることができる。
1.ユーザ認証に加えて申請判定を行うため、業務情報システムの情報セキュリティが強化される。
2.既に運用されている業務情報システムへの導入が容易である。
3.申請判定に関連するユーザの負荷が軽減される。
4.複数種類の業務情報システムを単一の業務情報防護装置100によって一元管理できる。
以上について、特に、上記3.や上記4.を中心として、業務情報防護装置100の機能および作用について説明する。
図2は、業務情報防護装置100の機能ブロック図である。
ここに示す各ブロックは、ハードウェア的には、コンピュータのCPUをはじめとする素子や機械装置で実現でき、ソフトウェア的にはコンピュータプログラム等によって実現されるが、ここでは、それらの連携によって実現される機能ブロックを描いている。したがって、これらの機能ブロックはハードウェア、ソフトウェアの組合せによっていろいろなかたちで実現できることは、当業者には理解されるところである。ここでは、各部の機能を中心として説明し、それらの連携、データ構造、作用については、図3以降に関連して詳述する。
ここに示す各ブロックは、ハードウェア的には、コンピュータのCPUをはじめとする素子や機械装置で実現でき、ソフトウェア的にはコンピュータプログラム等によって実現されるが、ここでは、それらの連携によって実現される機能ブロックを描いている。したがって、これらの機能ブロックはハードウェア、ソフトウェアの組合せによっていろいろなかたちで実現できることは、当業者には理解されるところである。ここでは、各部の機能を中心として説明し、それらの連携、データ構造、作用については、図3以降に関連して詳述する。
本実施例における業務情報防護装置100は、互いに通信回線で接続された中継装置110、ユーザ認証装置120および申請管理装置140を含む。
A:中継装置110
中継装置110のログインインタフェース処理部112は、作業用端末200からのリモートログイン要求を受け付ける。このリモートログイン要求には、ユーザIDとパスワードが含まれる。従来、中継装置110は、このユーザIDとパスワードに基づいて自らユーザ認証を行っていたが、本実施例においては、このユーザIDとパスワードは、ユーザ認証装置120によるユーザ認証処理や申請管理装置140による申請判定処理のために転送され、中継装置110は、それぞれの判定結果を受け取る。以下、ユーザIDやパスワードのように、ユーザを識別するためのデータのことを「ユーザ識別情報」とよぶ。変形例として、ユーザ識別情報は、指紋や虹彩などの生体情報であってもよい。
A:中継装置110
中継装置110のログインインタフェース処理部112は、作業用端末200からのリモートログイン要求を受け付ける。このリモートログイン要求には、ユーザIDとパスワードが含まれる。従来、中継装置110は、このユーザIDとパスワードに基づいて自らユーザ認証を行っていたが、本実施例においては、このユーザIDとパスワードは、ユーザ認証装置120によるユーザ認証処理や申請管理装置140による申請判定処理のために転送され、中継装置110は、それぞれの判定結果を受け取る。以下、ユーザIDやパスワードのように、ユーザを識別するためのデータのことを「ユーザ識別情報」とよぶ。変形例として、ユーザ識別情報は、指紋や虹彩などの生体情報であってもよい。
中継装置110は、単一の装置でなくてもよい。たとえば、財務情報システム310用の中継装置110と、顧客情報システム312用の中継装置110は別々であってもよい。あるいは、作業者は、複数の中継装置110のうち任意の中継装置110を介して目的とする業務情報システムにアクセスしてもよい。中継装置110を複数設けることは、負荷分散や可用性の面からも好ましい。
B:ユーザ認証装置120
ユーザ認証装置120は、ユーザ認証部122と正規ユーザ情報保持部124を含む。正規ユーザ情報保持部124は、ユーザIDとパスワードを対応づけた正規ユーザ情報を保持する。この正規ユーザ情報に登録されているユーザのことを「正規ユーザ」とよぶ。ユーザ認証部122は、ログインインタフェース処理部112がリモートログイン要求を受け付けたとき、ログインインタフェース処理部112からそのユーザIDとパスワードを取得する。そして、その送信元のユーザが正規ユーザとして登録されているかを判定することによりユーザ認証を行う。ユーザ認証部122は、作業者だけでなく承認者についてもユーザ認証を実行するが、詳細は後述する。
ユーザ認証装置120は、ユーザ認証部122と正規ユーザ情報保持部124を含む。正規ユーザ情報保持部124は、ユーザIDとパスワードを対応づけた正規ユーザ情報を保持する。この正規ユーザ情報に登録されているユーザのことを「正規ユーザ」とよぶ。ユーザ認証部122は、ログインインタフェース処理部112がリモートログイン要求を受け付けたとき、ログインインタフェース処理部112からそのユーザIDとパスワードを取得する。そして、その送信元のユーザが正規ユーザとして登録されているかを判定することによりユーザ認証を行う。ユーザ認証部122は、作業者だけでなく承認者についてもユーザ認証を実行するが、詳細は後述する。
業務情報システムに対するメンテナンス作業の中には、リリース作業のように業務情報システムに対する影響が特に大きい作業もある。このようなタイプのメンテナンス作業を実行するためには、通常のユーザ権限によるアクセスではなく、アドミニストレータ並のユーザ権限によりアクセスを行う必要がある。しかし、業務情報システムの情報セキュリティ向上という面から見ると、このような特別なユーザ権限(以下、単に「特別権限」とよぶ)を安易に付与することは好ましくない。詳しい仕組みは後述するが、業務情報防護装置100は、この特別権限を取得できる状態にあるユーザ(以下、「昇格可能ユーザ」とよぶ)を厳密に管理することができる。正規ユーザ情報保持部124は、正規ユーザ情報に加えて、昇格可能ユーザを示す昇格ユーザ情報も保持している。昇格ユーザ情報に登録され、昇格可能ユーザとなることを「昇格」、昇格ユーザ情報から抹消され、昇格可能ユーザでなくなることを「降格」とよぶ。
本実施例におけるユーザ認証装置120は単一の装置であり、ユーザ識別情報を一元的に管理する。複数の業務情報システムと複数の関係者をつなぐユーザ認証を単一のユーザ認証装置120にて実行することにより、ユーザ認証ポリシー(policy)を管理しやすい構成となっている。
C:申請管理装置140
申請管理装置140は、申請状態管理部142、申請状態判定部144、アクセスインタフェース処理部146、ログ管理部148、昇格処理部182、実行条件保持部150、作業予定保持部152、ログ保持部154を含む。
申請管理装置140は、申請状態管理部142、申請状態判定部144、アクセスインタフェース処理部146、ログ管理部148、昇格処理部182、実行条件保持部150、作業予定保持部152、ログ保持部154を含む。
実行条件保持部150は、メンテナンス作業についてのアクセスルールを実行条件情報として保持する。メンテナンス作業は、障害対応、調査、稼働監視、リリース作業・・・のようにその目的はさまざまである。メンテナンス作業は、このように複数の種別(以下、単に「作業種別」とよぶ)に分類される。たとえば、業務情報システムへのモジュール追加といったリリース作業は、営業時間外にのみ許可したい場合がある。このような場合、業務情報システムの管理責任者は、リリース作業は営業時間外にのみ実行可能となるように実行条件を設定する。実行条件保持部150のデータ構造については、次の図3に関連して更に詳述する。
作業者は、業務情報システムにアクセスするためには、メンテナンス作業の実行をあらかじめ申請しなければならない。申請状態管理部142は、この作業の申請に関する処理を担当する。申請状態管理部142は、作業申請部156、作業承認部158、申請通知部160および登録判定部162を含む。
作業者は、作業を開始する前に、作業用端末200から申請管理装置140に作業申請情報を送信する。作業申請情報とは、後の図4に示す申請画面220において入力されるデータの集合である。後の図4では、入力データとして、作業目的、作業日時、件名、アクセス対象となるシステム名などが示されるが、このほかにも、申請者のメールアドレスなどさまざまな情報が含まれてもよい。更に、申請日時や申請者のIPアドレスなど、入力されたデータ以外の付帯情報が含まれてもよい。作業申請部156は、作業用端末200から作業申請情報を受信する。登録判定部162は、受信された作業申請情報が実行条件情報と適合しているかを判定する。先ほどの例でいえば、営業時間中を対象としてリリース作業が申請された場合、登録判定部162は申請を却下し、その旨を作業者に通知する。申請内容が実行条件情報と適合していれば、登録判定部162は作業予定保持部152の作業予定情報に、申請された作業を登録する。こうして作業予定情報に登録された作業申請のことを「有効な作業申請」とよぶ。作業予定情報の内容は、作業申請情報の内容と実質的に同等であってもよい。すなわち、受信された作業申請情報のうち、有効な作業申請としての要件を満たす作業申請情報だけが「作業予定情報」として作業予定保持部152に正式登録されることになる。登録判定部162は、有効な作業申請がなされると、作業を一意に識別するための作業IDを付与する。作業予定情報では、作業ID、作業予定日時、作業内容、作業者名、承認状態等が対応づけられる。
有効な作業申請さえ行えば作業開始可能なタイプのメンテナンス作業だけでなく、承認がなされなければ作業開始できないタイプのメンテナンス作業もある。実行条件情報の一部として、このような定義がなされてもよい。申請通知部160は、有効な作業申請が登録されると、その申請された作業内容が承認を必要とするものであるか否かを実行条件情報を参照して判定する。申請通知部160は、承認が必要なメンテナンス作業が有効に申請されたときには、その作業IDを承認者に通知する。本実施例における申請通知部160は、作業IDを示す電子メールを承認用端末320に送信する。承認者は、通知を受けると、作業IDに基づいて申請管理装置140にアクセスし、承認可否を入力する。作業承認部158は、この承認可否を承認用端末320から受け付ける。
作業承認部158は、承認がなされると、作業予定情報における承認状態を「未承認」から「承認」に変更する。却下の場合には、作業承認部158は作業者に申請却下の旨を通知すると共に、作業予定情報から該当作業を抹消する。また、登録判定部162は、作業予定情報に登録されている作業のうち、作業予定日時を経過した作業や、すでに完了した作業を適宜、作業予定情報から抹消する。
申請状態判定部144は、申請判定を実行する。作業者からリモートログイン要求が受け付けられたとき、ログインインタフェース処理部112から取得したユーザ識別情報と作業予定情報を参照して、作業申請済か否かを判定する。また、リモートログイン要求の受信日時が、申請された作業時間内にあるかについても判定する。たとえば、「10:00〜11:00」という作業予定時間を指定して申請されているときには、10:00以前や11:00以後にリモートログイン要求をしてきても申請判定の結果は「否定」となり、リモートログインは許可されない。ユーザ認証と申請判定が共に肯定判定となると、アクセスインタフェース処理部146は、作業用端末200からクライアント環境300へアクセスするための通信経路を開放する。
もちろん、承認が必要なメンテナンス作業が申請されているときには、承認済みでなければアクセス許可されない。
もちろん、承認が必要なメンテナンス作業が申請されているときには、承認済みでなければアクセス許可されない。
ログ管理部148は、作業用端末200からクライアント環境300へのアクセスログを管理する。ログ管理部148は、ログ記録部178と作業検証部180を含む。
ログ記録部178は、リモートログイン要求の実行、作業用端末200と業務情報システムの間で送受されるコマンドやデータ、その実行日時をアクセスログとして記録する。ログ保持部154は、このアクセスログを保持する。作業検証部180は、アクセスログの内容と、申請されていた作業内容とを比較して、不正アクセスがなされていないかをチェックする。たとえば、「稼働監視」を目的とした作業申請がなされているときに、ファイルの書き換え処理の実行がなされたときには、作業検証部180はアクセスログを参照して、このような不正アクセスを検出する。作業検証部180は、承認用端末320に対して、不正アクセス、あるいは、不正アクセスの疑いのあるアクセスがあった旨を通知する。あるいは、不正アクセスが検出された時点で、アクセスインタフェース処理部146はリモートアクセスを強制的に遮断してもよい。
昇格処理部182は、各ユーザの昇格・降格判定を行うが、詳しくは図10に関連して後述する。
ログ記録部178は、リモートログイン要求の実行、作業用端末200と業務情報システムの間で送受されるコマンドやデータ、その実行日時をアクセスログとして記録する。ログ保持部154は、このアクセスログを保持する。作業検証部180は、アクセスログの内容と、申請されていた作業内容とを比較して、不正アクセスがなされていないかをチェックする。たとえば、「稼働監視」を目的とした作業申請がなされているときに、ファイルの書き換え処理の実行がなされたときには、作業検証部180はアクセスログを参照して、このような不正アクセスを検出する。作業検証部180は、承認用端末320に対して、不正アクセス、あるいは、不正アクセスの疑いのあるアクセスがあった旨を通知する。あるいは、不正アクセスが検出された時点で、アクセスインタフェース処理部146はリモートアクセスを強制的に遮断してもよい。
昇格処理部182は、各ユーザの昇格・降格判定を行うが、詳しくは図10に関連して後述する。
本実施例における申請管理装置140は単一の装置であり、申請判定を一元的に実行する。複数の業務情報システムに関する申請判定を単一の申請管理装置140にて実行することにより、実行条件や作業予定情報を管理しやすい構成となっている。
図3は、実行条件保持部150における実行条件情報のデータ構造図である。
実行条件情報は、各業務情報システムの管理責任者により定められたアクセスルールである。ルールID欄164は、アクセスルールを一意に識別するためのID(以下、「ルールID」とよぶ)を示す。アクセスルールが登録されるときに、ルールIDが割り当てられる。年月日欄166は、アクセスルールの適用日を示す。時間欄168は、アクセスルールの適用時間を示す。たとえば、ルールID「1」のアクセスルールが適用されるのは、企業Aの営業日であって「6:00〜16:00」の時間帯である。作業種別欄170は、アクセスルールが適用されるメンテナンス作業の作業種別を示す。承認要否欄172は、該当作業の実行をするために承認が必要か否かを示す。
実行条件情報は、各業務情報システムの管理責任者により定められたアクセスルールである。ルールID欄164は、アクセスルールを一意に識別するためのID(以下、「ルールID」とよぶ)を示す。アクセスルールが登録されるときに、ルールIDが割り当てられる。年月日欄166は、アクセスルールの適用日を示す。時間欄168は、アクセスルールの適用時間を示す。たとえば、ルールID「1」のアクセスルールが適用されるのは、企業Aの営業日であって「6:00〜16:00」の時間帯である。作業種別欄170は、アクセスルールが適用されるメンテナンス作業の作業種別を示す。承認要否欄172は、該当作業の実行をするために承認が必要か否かを示す。
たとえば、ルールID「1」のアクセスルールが適用されるのは、営業日の「6:00〜16:00」における作業種別「01」の「障害対応」を目的としたメンテナンス作業と、作業種別「02」の「調査」を目的としたメンテナンス作業であり、これらについては承認不要である。すなわち、営業日の「6:00〜16:00」中を作業予定日時として障害対応を目的としたメンテナンス作業を行う場合には、作業者はあらかじめその旨を示す作業申請行うだけでよく、承認は不要である。一方、営業日の「6:00〜16:00」において、「稼働監視」や「リリース作業」を目的とするメンテナンス作業を実行する場合には、作業申請だけでなく承認がなされていなければアクセスできない。
たとえば、作業者Aが、営業日の「6:00〜16:00」中の日時Tにリモートアクセス要求をしてきたとする。このとき、同図に示す実行条件情報に基づく申請判定の結果は以下の通りである。
1.日時Tを作業予定時間として含むような作業の申請がなされていない場合
否定判定となる。
2.日時Tを作業予定時間として含む障害対応作業を申請していた場合
肯定判定となる。
3.日時Tを作業予定時間として含む稼働監視作業を申請していた場合
申請状態判定部144は、作業予定保持部152を参照し、申請された稼働監視作業が承認済みであれば肯定判定する。未承認や却下の場合には、否定判定となる。
なお、登録判定部162は、同一作業者が同一日時に別々の作業を申請した場合には、そのような申請を自動的に却下する。そのため、日時Tを対象として障害対応作業と稼働監視作業の両方を申請するということはできない。
1.日時Tを作業予定時間として含むような作業の申請がなされていない場合
否定判定となる。
2.日時Tを作業予定時間として含む障害対応作業を申請していた場合
肯定判定となる。
3.日時Tを作業予定時間として含む稼働監視作業を申請していた場合
申請状態判定部144は、作業予定保持部152を参照し、申請された稼働監視作業が承認済みであれば肯定判定する。未承認や却下の場合には、否定判定となる。
なお、登録判定部162は、同一作業者が同一日時に別々の作業を申請した場合には、そのような申請を自動的に却下する。そのため、日時Tを対象として障害対応作業と稼働監視作業の両方を申請するということはできない。
実行条件保持部150は、業務情報システムごとに別々の実行条件情報を保持してもよいが、本実施例においては、財務情報システム310、顧客情報システム312、在庫管理システム314に対して共通のアクセスルールを定義した統合的な実行条件情報であるとする。また、本実施例においては、作業種別「04」の「リリース作業」を実行するには特別権限が必要であるが、それ以外の作業には特別権限は不要であるとして説明する。
図4は、申請画面220を示す画面図である。
作業者が作業申請のために申請管理装置140にアクセスすると、作業申請部156は作業用端末200に同図に示す申請画面220を表示させる。申請画面220は、作業用端末200にウェブページとして表示される画面であるとする。
作業者が作業申請のために申請管理装置140にアクセスすると、作業申請部156は作業用端末200に同図に示す申請画面220を表示させる。申請画面220は、作業用端末200にウェブページとして表示される画面であるとする。
申請者名領域222には、作業を申請するユーザ名を入力する。申請者は、自分以外が作業をするときには、実際に作業を実行する予定のユーザ名を入力する。件名領域224には、申請する作業の件名を入力する。システム分類領域226からは、対象とする業務情報システムのタイプが選択される。ここでは、財務情報システム310が選択されている。アクセスインタフェース処理部146は、申請日時において、選択された業務情報システム以外への当該ユーザのアクセスを禁止するように制御してもよい。
システム名領域228は、業務情報システムの名前を示し、作業種別領域230は、作業種別を示す。内容入力領域232は、作業内容などを自由記述するための領域である。アクセス予定日時領域234は、作業予定日時を示す。作業者は、申請画面220に示される各項目にデータを入力した後、申請ボタン236をクリックする。すると、入力されたデータが作業申請情報として申請管理装置140に送信される。
図5は、承認画面260を示す画面図である。
承認が必要な作業申請がなされた場合、登録判定部162は作業IDを承認用端末320に通知する。承認者が、作業IDを指定して申請管理装置140にアクセスすると、作業承認部158は承認用端末320に同図に示す承認画面260を表示させる。承認画面260も、承認用端末320にウェブページとして表示される。
承認が必要な作業申請がなされた場合、登録判定部162は作業IDを承認用端末320に通知する。承認者が、作業IDを指定して申請管理装置140にアクセスすると、作業承認部158は承認用端末320に同図に示す承認画面260を表示させる。承認画面260も、承認用端末320にウェブページとして表示される。
申請情報領域262は、申請画面220に入力された申請内容を示す。承認者名領域264は、承認者名を入力するための領域である。承認依頼者名領域266は、承認を依頼したユーザ名を入力するための領域である。たとえば、承認権限のあるユーザBが、ユーザCに承認を依頼したときには、ユーザCはユーザBに代理して承認判断を行う。これは、ユーザBの休暇中など、特殊な状況に対応するための措置である。通信欄268は、作業申請者に対するメッセージを記述する欄である。申請却下の理由を記述したり、申請承認するときには作業内容に条件や注文をつけるための記述がなされてもよい。承認ボタン270は承認用、却下ボタン272は却下用のボタンである。承認ボタン270から却下ボタン272のいずれかがクリックされると、入力内容と承認可否を示すデータが申請管理装置140に送信される。作業承認部158は、このデータを作業用端末200に、たとえば、電子メールにより送信する。
「リリース作業」のように、特別権限が必要なメンテナンス作業が申請された場合は、承認可否や実行条件情報に基づいて昇格ユーザ情報の更新が行われる。たとえば、営業日の「6:00〜16:00」中の時間帯を作業予定時間として、リリース作業が申請されたとする。承認がなされると、申請された日時に限り、申請者は昇格する。たとえば、営業日である「2006年9月28日」の「10:00〜11:00」を作業予定日時として、ユーザAがリリース作業を申請したとする。この作業が承認されると、作業予定日時として示される期間だけ、ユーザAは昇格可能ユーザとなる。すなわち、昇格処理部182は、2006年9月28日の10:00に至ると、ユーザAを昇格させ、正規ユーザ情報保持部124の昇格ユーザ情報に登録する。また、9月28日の11:00に至ったり、リリース作業が終了したときには、ユーザAを降格させ、昇格ユーザ情報からユーザAを抹消する。このように、本実施例においては、特別権限は時間制限付きの権限となる。
ここでいう特別権限とは、いわゆるルート(root)権限やアドミニストレータ(administrator)権限であってもよい。すなわち、昇格可能ユーザとは、自己のユーザIDにてログインをした後、たとえば、UNIX(登録商標)のいわゆる「suコマンド」などによりルート権限を取得可能なユーザであってもよい。
ここでいう特別権限とは、いわゆるルート(root)権限やアドミニストレータ(administrator)権限であってもよい。すなわち、昇格可能ユーザとは、自己のユーザIDにてログインをした後、たとえば、UNIX(登録商標)のいわゆる「suコマンド」などによりルート権限を取得可能なユーザであってもよい。
申請・承認プロセスとは別に、特別権限を付与するか否かを別のアクセスポリシーにて管理してもよい。たとえば、リリース作業が作業者Bにより申請され、承認者Cに作業承認され、更に、別の承認者Dが作業者Bへの特別権限付与を許可したことを条件として、作業者Bの作業を許可してもよい。このように、「特別権限」という重要な権限の管理者を作業承認者と分離することにより、業務情報防護装置100の情報セキュリティをいっそう強化することができる。
昇格処理部182は、作業申請にかかわらず、所定条件が成立したときに、所定ユーザを昇格させるとしてもよい。たとえば、ユーザBが災害対応のスペシャリストである場合、昇格処理部182は地震の発生を検出すると、ユーザBを所定時間を限度として昇格させてもよい。また、このような非常時には、作業申請手続きを省略するというアクセスルールであってもよい。すなわち、業務情報防護装置100が備える震度計が所定値以上の揺れを計測したことをユーザDの昇格条件としてもよい。他の例として、業務情報システムにおいてコンピュータウィルスが検知されたことを、所定ユーザの昇格条件としてもよい。あるいは、特別権限を有するユーザCが作業申請の範囲を超えたアクセスをしたときには、ユーザCを降格させるとしてもよい。すなわち、業務情報防護装置100やクライアント環境300において所定の事象が発生したことを昇格・降格条件として、昇格や降格処理を実行してもよい。管理責任者は、昇格処理部182に対して昇格・降格条件を外部から設定することもできる。このため、上記のような緊急時においても、適切なユーザを時間制限付きで速やかに昇格させることができる。
図6(a)は、作業用端末200から中継装置110にリモートログイン要求するときに、作業用端末200に表示されるログイン画面280を示す。
中継装置110は、リモートログイン要求を受け付けると、ログインウィンドウ282を作業用端末200に表示させる。すなわち、中継装置110のログインインタフェース処理部112が、作業用端末200のユーザインタフェース画面を提供することになる。作業用端末200のユーザは、ユーザIDやパスワードを入力する。ユーザからみたユーザインタフェースは従来のターミナルサーバが提供するものと同じであるが、入力されたユーザ識別情報はユーザ認証装置120や申請管理装置140によってそれぞれユーザ認証、申請判定に供される。
中継装置110は、リモートログイン要求を受け付けると、ログインウィンドウ282を作業用端末200に表示させる。すなわち、中継装置110のログインインタフェース処理部112が、作業用端末200のユーザインタフェース画面を提供することになる。作業用端末200のユーザは、ユーザIDやパスワードを入力する。ユーザからみたユーザインタフェースは従来のターミナルサーバが提供するものと同じであるが、入力されたユーザ識別情報はユーザ認証装置120や申請管理装置140によってそれぞれユーザ認証、申請判定に供される。
ユーザ認証に成功し、申請判定が肯定判定となると、中継装置110は次に示す初期画面290を作業用端末200に表示する。あるいは、中継装置110ではなく申請管理装置140が初期画面290を提供するとしてもよい。
図6(b)は、作業用端末200からのリモートログインが許可されたときに、作業用端末200に表示される初期画面290を示す。
システムアイコン292は、財務情報システム310や顧客情報システム312などの各業務情報システムと対応づけられている。いずれかのアイコンがクリックされると、その業務情報システムにアクセスするためのユーザインタフェース画面が、たとえば、ウェブページとして表示される。このほかにも、TelnetやFtpなどに基づくコマンドラインUIが提供されてもよい。これらの業務情報システムアクセス用UIは、申請管理装置140のアクセスインタフェース処理部146により作業用端末200に提供される。
システムアイコン292は、財務情報システム310や顧客情報システム312などの各業務情報システムと対応づけられている。いずれかのアイコンがクリックされると、その業務情報システムにアクセスするためのユーザインタフェース画面が、たとえば、ウェブページとして表示される。このほかにも、TelnetやFtpなどに基づくコマンドラインUIが提供されてもよい。これらの業務情報システムアクセス用UIは、申請管理装置140のアクセスインタフェース処理部146により作業用端末200に提供される。
たとえば、ユーザが財務情報システム310に対応するシステムアイコン292を選択して、財務情報システム310へのインタフェースを開こうとするときには、アクセスインタフェース処理部146は、作業予定情報を参照して、ユーザが財務情報システム310を対象とした作業申請をしているかを判定する。申請済み、あるいは、申請済みかつ承認済みでなければ、当該アクセスは禁止される。
リモートログイン時においては、作業者が業務情報防護装置100に対して、作業申請済みであるか否かに基づいて申請判定がなされる。リモートログインが成功して実際に業務情報システムを指定してアクセスを開始するときには、アクセスインタフェース処理部146が、指定された業務情報システムに対する作業申請済みか否かに基づいてアクセス可否を判定する。
リモートログイン時においては、作業者が業務情報防護装置100に対して、作業申請済みであるか否かに基づいて申請判定がなされる。リモートログインが成功して実際に業務情報システムを指定してアクセスを開始するときには、アクセスインタフェース処理部146が、指定された業務情報システムに対する作業申請済みか否かに基づいてアクセス可否を判定する。
図7は、作業申請処理の過程を示すシーケンス図である。
作業用端末200のユーザは、まず、ユーザIDとパスワードを含むユーザ識別情報と共に、中継装置110を経由することなく、直接、申請管理装置140にアクセスする(S10)。たとえば、ユーザは、申請管理装置140のリモートログイン画面にてユーザ識別情報を入力してもよい。図6(a)に示したように、作業用端末200のユーザが業務情報防護装置100にアクセスすると、業務情報防護装置100はログイン画面280として示した画面を作業用端末200に表示される。このとき、ログイン画面280のログインウィンドウ282にユーザIDやパスワードを入力すると、業務情報防護装置100はこれらのユーザ識別情報をインターネット330を経由で取得することになる。申請管理装置140は、ユーザ識別情報をユーザ認証装置120に転送する(S12)。ユーザ認証装置120のユーザ認証部122は、正規ユーザ情報を参照してユーザ認証を行う(S14)。ユーザ認証に失敗すれば、以降の処理は実行されない。ここでは、ユーザ認証が成功したものとして説明を続ける。
作業用端末200のユーザは、まず、ユーザIDとパスワードを含むユーザ識別情報と共に、中継装置110を経由することなく、直接、申請管理装置140にアクセスする(S10)。たとえば、ユーザは、申請管理装置140のリモートログイン画面にてユーザ識別情報を入力してもよい。図6(a)に示したように、作業用端末200のユーザが業務情報防護装置100にアクセスすると、業務情報防護装置100はログイン画面280として示した画面を作業用端末200に表示される。このとき、ログイン画面280のログインウィンドウ282にユーザIDやパスワードを入力すると、業務情報防護装置100はこれらのユーザ識別情報をインターネット330を経由で取得することになる。申請管理装置140は、ユーザ識別情報をユーザ認証装置120に転送する(S12)。ユーザ認証装置120のユーザ認証部122は、正規ユーザ情報を参照してユーザ認証を行う(S14)。ユーザ認証に失敗すれば、以降の処理は実行されない。ここでは、ユーザ認証が成功したものとして説明を続ける。
ユーザ認証装置120は、ユーザ認証の結果、すなわち、認証成功の旨を申請管理装置140に通知する(S16)。申請管理装置140の作業申請部156は、申請画面220のためのHTML(Hyper Text Markup Language)データを送信し(S18)、作業用端末200は、申請画面220を表示させる(S20)。ユーザは、申請画面220にデータを入力し、申請ボタン236をクリックすると(S22)、入力されたデータが作業申請情報として申請管理装置140に送信される(S24)。
申請管理装置140の登録判定部162は、申請された作業内容と実行条件情報を比較し、登録可否を判定する(S26)。有効な作業申請でなければ、登録判定部162は申請を却下した上で、作業用端末200に却下通知し、以降の処理は実行されない。ここでは、有効な申請であったとして説明を続ける。
登録判定部162は、申請されたメンテナンス作業を作業予定保持部152の作業予定情報に登録する(S28)。このとき作業IDが設定される。承認が必要な作業であれば、申請通知部160は承認を求める旨の電子メールを承認用端末320に送信する(S30)。
登録判定部162は、申請されたメンテナンス作業を作業予定保持部152の作業予定情報に登録する(S28)。このとき作業IDが設定される。承認が必要な作業であれば、申請通知部160は承認を求める旨の電子メールを承認用端末320に送信する(S30)。
図8は、作業承認処理の過程を示すシーケンス図である。
承認用端末320が図7のS30において電子メールを受け取ったあと、承認者は任意のタイミングにて、ユーザIDとパスワードを含むユーザ識別情報と共に申請管理装置140にアクセスする(S32)。たとえば、申請管理装置140のリモートログイン画面にて入力してもよい。また、承認者はここで作業IDも指定する。図6(a)と同様に、承認用端末320のユーザが業務情報防護装置100にアクセスしたときにも、業務情報防護装置100はログイン画面280として示した画面を承認用端末320に表示される。このとき、ログイン画面280のログインウィンドウ282にユーザIDやパスワードを入力すると、業務情報防護装置100はこれらのユーザ識別情報をインターネット330を経由で取得することになる。
承認用端末320が図7のS30において電子メールを受け取ったあと、承認者は任意のタイミングにて、ユーザIDとパスワードを含むユーザ識別情報と共に申請管理装置140にアクセスする(S32)。たとえば、申請管理装置140のリモートログイン画面にて入力してもよい。また、承認者はここで作業IDも指定する。図6(a)と同様に、承認用端末320のユーザが業務情報防護装置100にアクセスしたときにも、業務情報防護装置100はログイン画面280として示した画面を承認用端末320に表示される。このとき、ログイン画面280のログインウィンドウ282にユーザIDやパスワードを入力すると、業務情報防護装置100はこれらのユーザ識別情報をインターネット330を経由で取得することになる。
申請管理装置140は、承認者のユーザ識別情報をユーザ認証装置120に転送する(S34)。ユーザ認証装置120のユーザ認証部122は、正規ユーザ情報を参照してユーザ認証を行う(S36)。ユーザ認証に失敗すれば、以降の処理は実行されない。ここでは、ユーザ認証が成功したものとして説明を続ける。なお、作業者用の正規ユーザ情報と承認者用の正規ユーザ情報は、別々に管理されてもよい。
ユーザ認証装置120は、ユーザ認証の結果を示すデータ、ここでは認証成功の旨を示すデータを申請管理装置140に通知する(S38)。申請管理装置140の作業承認部158は、承認画面260のためのHTMLデータを送信し(S40)、承認用端末320は、作業IDにて指定された作業に関する承認画面260を表示させる(S42)。ユーザは、承認画面260にデータを入力し、承認ボタン270または却下ボタン272をクリックすると(S44)、入力されたデータが申請管理装置140に送信される(S46)。
申請管理装置140の作業承認部158は、承認可否に応じて作業予定保持部152の作業予定情報を更新する(S48)。作業承認部158は、作業用端末200に承認可否を通知する(S50)。
以上の処理により、有効に申請された作業について承認がなされる。なお、承認者が、申請管理装置140にアクセスすると、申請管理装置140は承認待ちの作業申請を一覧表示させ、承認者はその中から承認対象となる作業申請を選択するというユーザインタフェースであってもよい。
以上の処理により、有効に申請された作業について承認がなされる。なお、承認者が、申請管理装置140にアクセスすると、申請管理装置140は承認待ちの作業申請を一覧表示させ、承認者はその中から承認対象となる作業申請を選択するというユーザインタフェースであってもよい。
図9は、業務情報システムへのリモートログイン処理の過程を示すシーケンス図である。
作業者は、作業用端末200から、まず、中継装置110にアクセスする。このとき中継装置110は、図6(a)に示したログイン画面280を作業用端末200に表示させる。作業者が、ユーザ識別情報をログインウィンドウ282に入力すると、作業用端末200は、ユーザ識別情報を中継装置110に送信する(S60)。ユーザ認証装置120は、中継装置110がユーザ識別情報を受信したときに、ユーザ認証装置120にユーザ識別情報を転送させる(S62)。ユーザ認証装置120は、更に、このユーザ識別情報を申請管理装置140に転送する(S64)。
作業者は、作業用端末200から、まず、中継装置110にアクセスする。このとき中継装置110は、図6(a)に示したログイン画面280を作業用端末200に表示させる。作業者が、ユーザ識別情報をログインウィンドウ282に入力すると、作業用端末200は、ユーザ識別情報を中継装置110に送信する(S60)。ユーザ認証装置120は、中継装置110がユーザ識別情報を受信したときに、ユーザ認証装置120にユーザ識別情報を転送させる(S62)。ユーザ認証装置120は、更に、このユーザ識別情報を申請管理装置140に転送する(S64)。
申請管理装置140の申請状態判定部144は、ユーザ識別情報と作業予定情報を参照して、現在日時において作業者がなんらかのメンテナンス作業を申請済みであるか判定する(S66)。申請済みでなければ(S66のN)、申請管理装置140は中継装置110やユーザ認証装置120にデータ返送しないため、中継装置110のログイン処理はタイムアウトし、リモートログインは失敗する。申請済みであれば(S66のY)、申請状態判定部144は申請判定成功を示すデータをユーザ認証装置120に返す(S68)。なお、申請された作業に承認が必要であれば、S66においては承認済みか否かも考慮の対象となる。また、申請された作業に特別権限が必要であれば、S66においては昇格可能ユーザか否かも考慮の対象となる。
ユーザ認証部122は、結果通知を受信するとユーザ認証を実行する(S70)。ユーザ認証部122は、認証の成否を中継装置110に通知する(S72)。ユーザ認証に失敗している場合(S74のN)、中継装置110のログインインタフェース処理部112はログイン失敗処理を行う。ユーザ認証に成功すると(S74のY)、中継装置110は図6(b)に示す初期画面290を作業用端末200に表示させる(S76、S78)。
このあと、作業者は、初期画面290のシステムアイコン292を選択して、メンテナンス作業の対象となる業務情報システムにアクセスする。以後は、申請管理装置140のアクセスインタフェース処理部146は、業務情報システムへのアクセス用画面を作業用端末200に提供する。また、アクセスインタフェース処理部146は、業務情報システムと作業用端末200の間のデータ送受の中継または遮断を行う。たとえば、10:00〜11:00が作業予定時間として申請されているときには、11:00を超えた時点でアクセスを遮断する。すなわち、アクセスインタフェース処理部146は、業務情報システムに対する外部からのアクセスをすべて管理下におくことができる。
図10は、昇格・降格判定処理の過程を示すシーケンス図である。
申請管理装置140は、プロセス開始後、同図に示すS80、S82、S88の処理を繰り返す。このループ処理の開始タイミングは、所定時間、たとえば、1分間ごととなる。
申請管理装置140は、プロセス開始後、同図に示すS80、S82、S88の処理を繰り返す。このループ処理の開始タイミングは、所定時間、たとえば、1分間ごととなる。
ループ処理の開始タイミングに至ると、申請管理装置140の昇格処理部182は、作業予定保持部152から作業予定情報を読み出し(S80)、昇格させるべきユーザが存在するか判定する(S82)。営業日である「2006年9月28日」の「10:00〜11:00」を作業予定日時として、ユーザAがリリース作業を申請し、承認されたとする。この場合、2006年9月28日の10:00に至ると、昇格処理部182はユーザAを昇格させる。昇格処理部182は、昇格可能ユーザのユーザ識別情報をユーザ認証装置120に送信し(S84)、正規ユーザ情報保持部124の昇格ユーザ情報にユーザAを登録する(S86)。昇格可能ユーザが存在しなければ(S82のN)、昇格ユーザ登録はなされない。次に、昇格処理部182は、降格させるべきユーザが存在するか判定する(S88)。さきほどの設例の場合、2006年9月28日の11:00に至ると、ユーザAを降格させる。昇格処理部182は、降格すべきユーザのユーザ識別情報をユーザ認証装置120に送信し(S90)、正規ユーザ情報保持部124の昇格ユーザ情報からユーザAを抹消する(S92)。降格すべきユーザが存在しなければ(S88のN)、昇格ユーザ情報からの抹消は行われない。
このようなループ処理により、昇格ユーザ情報は定期的に更新される。時間制限付きの特別権限により、業務情報システムの情報セキュリティをいっそう向上させることができる。ユーザは、リモートログインした後に、自ら特別権限を明示的に要求してもよいが、どのような条件で昇格を許すかは、昇格処理部182が所定の昇格条件に基づいて判定してもよい。
以上、本実施例に示した業務情報防護装置100によれば、ユーザ認証に加えて申請判定を行うため、不正アクセスを防止しやすい構成となっている。ユーザ認証だけの場合、ユーザ識別情報の漏洩は、業務情報システムからの情報漏洩に直結しやすい。しかし、業務情報防護装置100は更に作業申請手続きを要求するため、ユーザ識別情報の漏洩が不正アクセスに直結しにくい。なぜならば、仮にユーザ識別情報を不正に手に入れたとしても、虚偽の作業申請を行ってまで業務情報システムにアクセスするには心理抑制がかかりやすいためである。
また、正当な管理会社のSEに対してもクライアント環境300へのアクセスを規制する仕組みが実現されている。また、作業の申請や承認がログとして記録されるため、事後的なアクセスチェックが容易となる。このため、クライアント企業としても、自システムについてのコンプライアンス(compliance)を証明しやすいというメリットがある。このような特徴により、業務情報防護装置100は、SOX方が求める「内部統制の強化」に資することができる。
また、正当な管理会社のSEに対してもクライアント環境300へのアクセスを規制する仕組みが実現されている。また、作業の申請や承認がログとして記録されるため、事後的なアクセスチェックが容易となる。このため、クライアント企業としても、自システムについてのコンプライアンス(compliance)を証明しやすいというメリットがある。このような特徴により、業務情報防護装置100は、SOX方が求める「内部統制の強化」に資することができる。
申請された作業内容が実行条件情報に適合しないときには、登録判定部162は、不審な申請がなされた旨を承認用端末320に通知したり、当該ユーザ識別情報を一時的に無効化してもよい。登録判定部162のこのような作業申請チェックにより、不正な作業申請を自動的に却下できる。更に、申請だけでなく承認が必要なメンテナンス作業を定義することもできるため、情報セキュリティをいっそう向上させることができる。
また、特別権限が必要なメンテナンス作業を実行するときにも、特別権限に時間制限を設け、業務情報防護装置100はどのユーザにどのようなタイミングで特別権限を与えるかを一元管理できる。
通常、メンテナンス作業は、あらかじめ実行スケジュールが確定していることが多い。本実施例の業務情報防護装置100によれば、事前の作業申請と任意のタイミングでの承認という運用により、作業者および承認者に過度の心理的負担をかけないかたちで業務情報システムのセキュリティ管理を実現できる。
業務情報防護装置100は、アクセスログを記録することもできる。また、ログ管理部148は、作業申請された内容と、実際の作業の内容に齟齬が発生していないかをチェックできる。このため、アクセス許可されたあとも、事後的に不正アクセスが発生していないかをチェックできる。
このように、業務情報防護装置100は、
1.ユーザ認証
2.実行条件と申請された作業内容の適合性の判定
3.リモートログイン要求時における申請判定
4.リモートログイン要求日時と申請された作業予定日時の比較
5.特別権限に関する判定
6.アクセスログに基づく不正アクセス検出
という複数の観点から業務情報システムを防御している。
1.ユーザ認証
2.実行条件と申請された作業内容の適合性の判定
3.リモートログイン要求時における申請判定
4.リモートログイン要求日時と申請された作業予定日時の比較
5.特別権限に関する判定
6.アクセスログに基づく不正アクセス検出
という複数の観点から業務情報システムを防御している。
また、業務情報防護装置100は、複数の業務情報システムに対するアクセスを一元管理できる。そのため、複数の業務情報システムに対して統一的なアクセスポリシーを適用しやすくなっている。更に、既に運用されている業務情報システムに対して、業務情報防護装置100を追加するだけで実現できるというメリットもある。
なお、本実施例においては、作業用端末200からインターネット330等の通信ネットワークを介して業務情報防護装置100にリモートアクセスを行う前提にて説明したが、このような前提は本発明の技術的範囲を制約するものではない。業務情報防護装置100に直接的に接続されるキーボードやマウス、ディスプレイなどの入出力デバイスを介して業務情報システムにアクセスする運用形態においても、本実施例に示したようなユーザ認証と申請判定による2重判定や、その他の技術的特徴を適用可能であることは当業者には理解されるところである。
なお、本実施例においては、作業用端末200からインターネット330等の通信ネットワークを介して業務情報防護装置100にリモートアクセスを行う前提にて説明したが、このような前提は本発明の技術的範囲を制約するものではない。業務情報防護装置100に直接的に接続されるキーボードやマウス、ディスプレイなどの入出力デバイスを介して業務情報システムにアクセスする運用形態においても、本実施例に示したようなユーザ認証と申請判定による2重判定や、その他の技術的特徴を適用可能であることは当業者には理解されるところである。
以上、本発明を実施例をもとに説明した。実施の形態は例示であり、それらの各構成要素や各処理プロセスの組合せにいろいろな変形例が可能なこと、またそうした変形例も本発明の範囲にあることは当業者に理解されるところである。
請求項に記載の実行要求受信部の機能は、本実施例においては主としてログインインタフェース処理部112により実現される。また、請求項に記載のアクセス制御部の機能は、本実施例においては主としてアクセスインタフェース処理部146により実現される。請求項に記載の昇格条件設定部と昇格登録部の機能は、本実施例においては主として昇格処理部182により実現される。
このほかにも、請求項に記載の各構成要件が果たすべき機能は、本実施例において示された各機能ブロックの単体もしくはそれらの連係によって実現されることも当業者には理解されるところである。
このほかにも、請求項に記載の各構成要件が果たすべき機能は、本実施例において示された各機能ブロックの単体もしくはそれらの連係によって実現されることも当業者には理解されるところである。
以上の実施の形態および変形例から把握される発明のいろいろな態様をすでに特許請求の範囲に記載したものも含む形にて以下に例示する。
A1.組織業務を管理するための業務情報システムと業務情報システムのメンテナンス作業を行う作業用端末のそれぞれと接続され、
メンテナンス作業を実行可能な正規ユーザが登録された正規ユーザ情報を保持する正規ユーザ情報保持部と、
当該装置が管理対象とする複数種類の業務情報システムのうちのいずれかの指定と作業予定者の指定と共にメンテナンス作業の実行を申請するための作業申請情報を受信する作業申請受信部と、
前記複数種類の業務情報システムのそれぞれについて、申請されたメンテナンス作業とその作業予定者を対応づけた作業予定情報を保持する作業予定保持部と、
メンテナンス作業の実行に際して、作業対象となる業務情報システムの指定と共に作業者を特定するユーザ識別情報を前記作業用端末から受信する実行要求受信部と、
前記正規ユーザ情報を参照して、前記作業者が正規ユーザとして登録されているか否かを判定するユーザ認証部と、
前記指定された業務情報システムについての作業予定情報を参照して、前記作業者を作業予定者とするメンテナンス作業が申請済であるか否かを判定する申請状態判定部と、
前記ユーザ認証部の判定と前記申請状態判定部の判定が共に肯定判定となることを条件として、前記作業用端末から前記指定された業務情報システムへのメンテナンス作業用アクセスを許可するアクセス制御部と、
を備えることを特徴とする業務情報防護装置。
メンテナンス作業を実行可能な正規ユーザが登録された正規ユーザ情報を保持する正規ユーザ情報保持部と、
当該装置が管理対象とする複数種類の業務情報システムのうちのいずれかの指定と作業予定者の指定と共にメンテナンス作業の実行を申請するための作業申請情報を受信する作業申請受信部と、
前記複数種類の業務情報システムのそれぞれについて、申請されたメンテナンス作業とその作業予定者を対応づけた作業予定情報を保持する作業予定保持部と、
メンテナンス作業の実行に際して、作業対象となる業務情報システムの指定と共に作業者を特定するユーザ識別情報を前記作業用端末から受信する実行要求受信部と、
前記正規ユーザ情報を参照して、前記作業者が正規ユーザとして登録されているか否かを判定するユーザ認証部と、
前記指定された業務情報システムについての作業予定情報を参照して、前記作業者を作業予定者とするメンテナンス作業が申請済であるか否かを判定する申請状態判定部と、
前記ユーザ認証部の判定と前記申請状態判定部の判定が共に肯定判定となることを条件として、前記作業用端末から前記指定された業務情報システムへのメンテナンス作業用アクセスを許可するアクセス制御部と、
を備えることを特徴とする業務情報防護装置。
A2.前記正規ユーザ情報保持部は、前記複数種類の業務情報システムのそれぞれについての正規ユーザを単一の正規ユーザ情報にて管理することを特徴とするA1に記載の業務情報防護装置。
A3.メンテナンス作業申請の承認者に対して、申請された作業内容を通知する作業申請通知部と、
前記承認者からの承認入力を受け付ける作業承認取得部と、を更に備え、
前記作業予定保持部は、更に、前記作業予定情報として、申請されたメンテナンス作業とその承認状態を対応づけて保持し、
前記申請状態判定部は、更に、申請されたメンテナンス作業が承認済であるか否かを判定することを特徴とするA1または2に記載の業務情報防護装置。
前記承認者からの承認入力を受け付ける作業承認取得部と、を更に備え、
前記作業予定保持部は、更に、前記作業予定情報として、申請されたメンテナンス作業とその承認状態を対応づけて保持し、
前記申請状態判定部は、更に、申請されたメンテナンス作業が承認済であるか否かを判定することを特徴とするA1または2に記載の業務情報防護装置。
A4.前記複数種類の業務情報システムのそれぞれについて、メンテナンス作業の実行条件が定義された実行条件情報を保持する実行条件保持部と、
申請された作業内容が前記実行条件情報と整合することを条件として、申請されたメンテナンス作業を前記作業予定情報に登録する申請登録判定部と、
を備えることを特徴とするA1からA3のいずれかに記載の業務情報防護装置。
申請された作業内容が前記実行条件情報と整合することを条件として、申請されたメンテナンス作業を前記作業予定情報に登録する申請登録判定部と、
を備えることを特徴とするA1からA3のいずれかに記載の業務情報防護装置。
100 業務情報防護装置、 110 中継装置、 112 ログインインタフェース処理部、 120 ユーザ認証装置、 122 ユーザ認証部、 124 正規ユーザ情報保持部、 140 申請管理装置、 142 申請状態管理部、 144 申請状態判定部、 146 アクセスインタフェース処理部、 148 ログ管理部、 150 実行条件保持部、 152 作業予定保持部、 154 ログ保持部、 156 作業申請部、 158 作業承認部、 160 申請通知部、 162 登録判定部、 178 ログ記録部、 180 作業検証部、 182 昇格処理部、 200 作業用端末、 220 申請画面、 260 承認画面、 280 ログイン画面、 290 初期画面、 300 クライアント環境、 310 財務情報システム、 312 顧客情報システム、 314 在庫管理システム、 320 承認用端末。
Claims (8)
- 組織業務を管理するための業務情報システムと前記業務情報システムのメンテナンス作業を行う作業用端末のそれぞれと接続され、
メンテナンス作業を実行可能な正規ユーザが登録された正規ユーザ情報を保持する正規ユーザ情報保持部と、
作業予定者の指定と共にメンテナンス作業の実行を申請するための作業申請情報を受信する作業申請受信部と、
申請されたメンテナンス作業とその作業予定者を対応づけた作業予定情報を保持する作業予定保持部と、
前記業務情報システムのメンテナンス作業の実行に際して、作業者を特定するユーザ識別情報を前記作業用端末から受信する実行要求受信部と、
前記正規ユーザ情報を参照して、前記作業者が正規ユーザとして登録されているか否かを判定するユーザ認証部と、
前記作業予定情報を参照して、前記作業者を作業予定者とするメンテナンス作業が申請済か否かを判定する申請状態判定部と、
前記ユーザ認証部の判定と前記申請状態判定部の判定が共に肯定判定となることを条件として、前記作業用端末から前記業務情報システムへのメンテナンス作業用アクセスを許可するアクセス制御部と、
を備えることを特徴とする業務情報防護装置。 - メンテナンス作業申請の承認者に対して、申請された作業内容を通知する作業申請通知部と、
前記承認者からの承認入力を受け付ける作業承認取得部と、を更に備え、
前記作業予定保持部は、更に、前記作業予定情報として、申請されたメンテナンス作業とその承認状態を対応づけて保持し、
前記申請状態判定部は、更に、申請されたメンテナンス作業が承認済であるか否かを判定することを特徴とする請求項1に記載の業務情報防護装置。 - 前記申請状態判定部は、更に、メンテナンス作業の実行日時が申請された作業期間内か否かを判定することを特徴とする請求項1または2に記載の業務情報防護装置。
- メンテナンス作業の実行条件が定義された実行条件情報を保持する実行条件保持部と、
申請された作業内容が前記実行条件情報と整合することを条件として、申請されたメンテナンス作業を前記作業予定情報に登録する申請登録判定部と、
を更に備えることを特徴とする請求項1から3のいずれかに記載の業務情報防護装置。 - 前記正規ユーザ情報保持部は、更に、通常のユーザ権限とは異なる特別権限を取得可能なユーザを示す昇格ユーザ情報を保持し、
前記申請状態判定部は、申請されたメンテナンス作業に対する実行条件として特別権限が指定されているときには、更に、作業者が特別権限を取得可能なユーザであるか否かを判定することを特徴とする請求項4に記載の業務情報防護装置。 - 特別権限の取得可能条件を示す昇格条件の設定入力を受け付ける昇格条件設定部と、
前記昇格条件が成立するときに、昇格条件の対象となるユーザを前記昇格ユーザ情報に登録する昇格登録部と、
を備えることを特徴とする請求項5に記載の業務情報防護装置。 - 前記作業用端末から前記業務情報システムへのアクセス履歴をログ情報として記録するログ記録部、を更に備えることを特徴とする請求項1から6のいずれかに記載の業務情報防護装置。
- 前記ログ情報を参照して、実行された作業内容が申請された作業内容の範囲内にあるか否かを判定する作業検証部、を更に備えることを特徴とする請求項7に記載の業務情報防護装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006302118A JP2008117316A (ja) | 2006-11-07 | 2006-11-07 | 業務情報防護装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006302118A JP2008117316A (ja) | 2006-11-07 | 2006-11-07 | 業務情報防護装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2008117316A true JP2008117316A (ja) | 2008-05-22 |
Family
ID=39503158
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006302118A Pending JP2008117316A (ja) | 2006-11-07 | 2006-11-07 | 業務情報防護装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2008117316A (ja) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010122776A (ja) * | 2008-11-18 | 2010-06-03 | Hitachi Software Eng Co Ltd | 特権id管理システム |
| JP2012141989A (ja) * | 2012-01-18 | 2012-07-26 | Toshiba Corp | 異常行動検知装置、監視システム、異常行動検知方法及びプログラム |
| JP2012203624A (ja) * | 2011-03-25 | 2012-10-22 | Nomura Research Institute Ltd | 業務情報防護装置および業務情報防護方法、並びにプログラム |
| JP2013045278A (ja) * | 2011-08-24 | 2013-03-04 | Nomura Research Institute Ltd | アクセス管理装置 |
| JP2015038748A (ja) * | 2014-09-22 | 2015-02-26 | 株式会社野村総合研究所 | アクセス管理方法およびアクセス管理装置 |
| JP2015195042A (ja) * | 2015-06-17 | 2015-11-05 | 株式会社野村総合研究所 | 業務情報防護装置および業務情報防護方法、並びにプログラム |
| JP2016173851A (ja) * | 2016-06-09 | 2016-09-29 | 株式会社野村総合研究所 | 業務情報防護装置および業務情報防護方法、並びにプログラム |
| JP2017054402A (ja) * | 2015-09-11 | 2017-03-16 | 株式会社リコー | 電子機器、設定管理方法、プログラムおよび通信システム |
| US9712536B2 (en) | 2013-01-09 | 2017-07-18 | Nomura Research Institute, Ltd. | Access control device, access control method, and program |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH1115549A (ja) * | 1997-06-26 | 1999-01-22 | Hitachi Ltd | オペレータ操作でのセキュリティチェック方式 |
| JP2001043429A (ja) * | 1999-07-27 | 2001-02-16 | Fujitsu Ltd | 自動取引装置監視システム及び監視方法 |
| JP2001338048A (ja) * | 2000-05-25 | 2001-12-07 | Hitachi Ltd | 保守作業管理装置及び方法 |
| JP2002109172A (ja) * | 2000-09-27 | 2002-04-12 | Fujitsu Ltd | 代行権限付与決定プログラムを記録した記録媒体および代行権限付与決定方法および装置 |
| JP2002318719A (ja) * | 2001-04-24 | 2002-10-31 | Hitachi Ltd | 高信頼計算機システム |
| JP2003058684A (ja) * | 2001-08-09 | 2003-02-28 | Mitsubishi Electric Corp | 保守作業支援装置 |
| JP2004054716A (ja) * | 2002-07-22 | 2004-02-19 | Hitachi East Japan Solutions Ltd | 作業管理方法および作業の表示方法 |
| JP2004062241A (ja) * | 2002-07-24 | 2004-02-26 | Fujitsu Ltd | ユーザアクセス権制御装置及び方法 |
| JP2005202931A (ja) * | 2003-12-17 | 2005-07-28 | Canon Software Inc | 情報処理装置管理システム及び情報処理装置管理方法およびプログラムおよび記録媒体 |
| JP2006268148A (ja) * | 2005-03-22 | 2006-10-05 | Mitsubishi Electric Building Techno Service Co Ltd | サーバ保守作業監視システム |
-
2006
- 2006-11-07 JP JP2006302118A patent/JP2008117316A/ja active Pending
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH1115549A (ja) * | 1997-06-26 | 1999-01-22 | Hitachi Ltd | オペレータ操作でのセキュリティチェック方式 |
| JP2001043429A (ja) * | 1999-07-27 | 2001-02-16 | Fujitsu Ltd | 自動取引装置監視システム及び監視方法 |
| JP2001338048A (ja) * | 2000-05-25 | 2001-12-07 | Hitachi Ltd | 保守作業管理装置及び方法 |
| JP2002109172A (ja) * | 2000-09-27 | 2002-04-12 | Fujitsu Ltd | 代行権限付与決定プログラムを記録した記録媒体および代行権限付与決定方法および装置 |
| JP2002318719A (ja) * | 2001-04-24 | 2002-10-31 | Hitachi Ltd | 高信頼計算機システム |
| JP2003058684A (ja) * | 2001-08-09 | 2003-02-28 | Mitsubishi Electric Corp | 保守作業支援装置 |
| JP2004054716A (ja) * | 2002-07-22 | 2004-02-19 | Hitachi East Japan Solutions Ltd | 作業管理方法および作業の表示方法 |
| JP2004062241A (ja) * | 2002-07-24 | 2004-02-26 | Fujitsu Ltd | ユーザアクセス権制御装置及び方法 |
| JP2005202931A (ja) * | 2003-12-17 | 2005-07-28 | Canon Software Inc | 情報処理装置管理システム及び情報処理装置管理方法およびプログラムおよび記録媒体 |
| JP2006268148A (ja) * | 2005-03-22 | 2006-10-05 | Mitsubishi Electric Building Techno Service Co Ltd | サーバ保守作業監視システム |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010122776A (ja) * | 2008-11-18 | 2010-06-03 | Hitachi Software Eng Co Ltd | 特権id管理システム |
| JP2012203624A (ja) * | 2011-03-25 | 2012-10-22 | Nomura Research Institute Ltd | 業務情報防護装置および業務情報防護方法、並びにプログラム |
| JP2013045278A (ja) * | 2011-08-24 | 2013-03-04 | Nomura Research Institute Ltd | アクセス管理装置 |
| JP2012141989A (ja) * | 2012-01-18 | 2012-07-26 | Toshiba Corp | 異常行動検知装置、監視システム、異常行動検知方法及びプログラム |
| US9712536B2 (en) | 2013-01-09 | 2017-07-18 | Nomura Research Institute, Ltd. | Access control device, access control method, and program |
| JP2015038748A (ja) * | 2014-09-22 | 2015-02-26 | 株式会社野村総合研究所 | アクセス管理方法およびアクセス管理装置 |
| JP2015195042A (ja) * | 2015-06-17 | 2015-11-05 | 株式会社野村総合研究所 | 業務情報防護装置および業務情報防護方法、並びにプログラム |
| JP2017054402A (ja) * | 2015-09-11 | 2017-03-16 | 株式会社リコー | 電子機器、設定管理方法、プログラムおよび通信システム |
| JP2016173851A (ja) * | 2016-06-09 | 2016-09-29 | 株式会社野村総合研究所 | 業務情報防護装置および業務情報防護方法、並びにプログラム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5789390B2 (ja) | 業務情報防護装置および業務情報防護方法、並びにプログラム | |
| US11627054B1 (en) | Methods and systems to manage data objects in a cloud computing environment | |
| US10375054B2 (en) | Securing user-accessed applications in a distributed computing environment | |
| JP6140735B2 (ja) | アクセス制御装置、アクセス制御方法、およびプログラム | |
| US20200394327A1 (en) | Data security compliance for mobile device applications | |
| JP2008117316A (ja) | 業務情報防護装置 | |
| US8904549B2 (en) | Server system, control method, and storage medium for securely executing access to data of a tenant | |
| US9294466B2 (en) | System and/or method for authentication and/or authorization via a network | |
| US9779257B2 (en) | Orchestrated interaction in access control evaluation | |
| RU2618946C1 (ru) | Способ блокировки доступа к данным на мобильных устройствах с использованием API для пользователей с ограниченными возможностями | |
| JP2008117317A (ja) | 業務情報防護装置 | |
| CN102693373B (zh) | 业务信息防护装置 | |
| JP2005234729A (ja) | 不正アクセス防御システム及びその方法 | |
| JP5936798B2 (ja) | ログ分析装置、不正アクセス監査システム、ログ分析プログラム及びログ分析方法 | |
| JP5952466B2 (ja) | 業務情報防護装置および業務情報防護方法、並びにプログラム | |
| JP4850159B2 (ja) | 外部装置管理システム | |
| JP5362125B1 (ja) | ポリシ更新システム及びポリシ更新装置 | |
| JP5039402B2 (ja) | 業務情報防護装置 | |
| JP4769241B2 (ja) | アクセス権限制御システム | |
| US20050138435A1 (en) | Method and system for providing a login and arbitrary user verification function to applications | |
| JP6351061B2 (ja) | 管理システム、管理方法、プログラム、および利用者端末 | |
| JP2018152091A (ja) | 業務情報防護装置および業務情報防護方法、並びにプログラム | |
| JP2016173851A (ja) | 業務情報防護装置および業務情報防護方法、並びにプログラム | |
| JP4814130B2 (ja) | 業務情報防護装置 | |
| JP2020095750A (ja) | 業務情報防護装置および業務情報防護方法、並びにプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090907 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110624 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110705 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110901 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120321 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20120717 |